Samba AD DC TLS error - Failed to set default priorities

0

1

Решаю задачу создания автоматического создания пользователей в домене Active Directory.

Имею Samba 4.19.1 установленную из исходников на Centos 7 и настроенную как контроллер домена по этой инструкции https://wiki.samba.org/index.php/Setting_up_Samba_as_an_Active_Directory_Domain_Controller

Могу создать пользователя из кода (Python и библиотека ldap3), но чтобы задать пароль требуется использовать шифрование (LDAPS), Samba поддерживает это по умолчанию и при запуске даже генерирует сертификаты в /usr/local/samba/private/tls/

Однако когда я пытаюсь подключиться к контроллеру домена командой

openssl s_client -showcerts -connect localhost:636

то получаю ошибку

139681239324560:error:140790E5:SSL procedures:ssl23_write:ssl confirmation error:s23_lib.c:177: peer certificate unavailable

в логах Samba вижу следующее

[2024/04/19 12:37:30.259588,  0] ../../source4/lib/tls/tls_tstream.c:1383(_tstream_tls_accept_send)
  _tstream_tls_accept_send: TLS ../../source4/lib/tls/tls_tstream.c:1383 - The request is invalid.. Failed to set default priorities

Исключение бросает вот этот метод в Tls_tstream.c:1383

ret = gnutls_set_default_priority(tlss->tls_session);
        if (ret != GNUTLS_E_SUCCESS) {
                DBG_ERR("TLS %s - %s. Failed to set default priorities\n",
                        __location__, gnutls_strerror(ret));
                tevent_req_error(req, EINVAL);
                return tevent_req_post(req, ev);
        }

Перед сборкой Samba я установил зависимости, среди которых были

gnutls, compat-gnutls37-devel, compat-gnutls37-utils

При конфигурировании GnuTLS успешно прошел проверку

Checking for GnuTLS >= 3.7.2 : yes

Конфиг Samba (smb.conf)

[global]
        dns forwarder = 8.8.8.8
        netbios name = DC1
        realm = SAMDOM.COM
        server role = active directory domain controller
        workgroup = SAMDOM
        idmap_ldb:use rfc2307 = yes

[sysvol]
        path = /usr/local/samba/var/locks/sysvol
        read only = No

[netlogon]
        path = /usr/local/samba/var/locks/sysvol/samdom.com/scripts
        read only = No

Насколько я понимаю, gnutls не может установить приоритет протоколов шифрования по умолчанию, как можно это исправить?

p.s. Samba с тем же конфигом, но установленная на Ubuntu из репозитория работает без нареканий, но на предприятии Centos 7 в репозитории которого вариант Samba без поддержки AD DC, поэтому собираю из исходников.

SELinux проверь вначале.

Nurmukh ★★★
(21.04.24 17:53:17 MSK)

Ответ на: комментарий от Nurmukh 21.04.24 17:53:17 MSK

SELinux отключен

Guard
(22.04.24 05:15:18 MSK) автор топика

Ответ на: комментарий от Guard 22.04.24 05:15:18 MSK

Попробуй запустить в docker, а там уже хоть Debian, хоть Ubuntu, хоть CentOS 9.

anonymous
(22.04.24 05:26:49 MSK)

Может добавить в smb.conf:

tls enabled = yes

tls keyfile = /usr/local/samba/private/tls/key.pem

tls certfile = /usr/local/samba/private/tls/cert.pem

tls cafile = /usr/local/samba/private/tls/ca.pem

demo13 ★
(22.04.24 12:41:12 MSK)
Последнее исправление: demo13 22.04.24 12:49:13 MSK (всего исправлений: 1)

Ответ на: комментарий от demo13 22.04.24 12:41:12 MSK

Пробовал, это по сути дефолтные значения. В общем в качество обходного пути пока использую Powershell + ADSI + Элицея (Антидепрессант). ADSI не требует шифрованного подключения.

Guard
(22.04.24 17:23:14 MSK) автор топика

Похожие темы